Vad är Microsoft Entra Privileged Identity Management?
Privileged Identity Management (PIM) är en tjänst i Microsoft Entra-ID som gör att du kan hantera, kontrollera och övervaka åtkomst till viktiga resurser i din organisation. Dessa resurser omfattar resurser i Microsoft Entra ID, Azure och andra Microsoft Online-tjänster som Microsoft 365 eller Microsoft Intune. I följande video förklaras viktiga PIM-begrepp och funktioner.
Skäl att använda
Organisationer vill minimera antalet personer som har åtkomst till säker information eller resurser, eftersom det minskar risken för
- en illvillig aktör som får åtkomst
- en behörig användare som oavsiktligt påverkar en känslig resurs
Användarna måste dock fortfarande utföra privilegierade åtgärder i Microsoft Entra-ID, Azure, Microsoft 365 eller SaaS-appar. Organisationer kan ge användare just-in-time privilegierad åtkomst till Azure och Microsoft Entra resurser och kan övervaka vad dessa användare gör med sin privilegierade åtkomst.
Licenskrav
Användning av Privileged Identity Management kräver licenser. Mer information om licensiering finns i Microsoft Entra ID Governance grunderna för licensiering .
Vad gör den?
Privileged Identity Management ger tidsbaserad och godkännandebaserad rollaktivering för att minska risken för överdriven, onödig eller missbrukad åtkomstbehörighet för resurser som du bryr dig om. Här är några av de viktigaste funktionerna i Privileged Identity Management:
- Ge just-in-time privilegierad åtkomst till Microsoft Entra-ID och Azure-resurser
- Tilldela tidsbunden åtkomst till resurser med hjälp av start- och slutdatum
- Kräv godkännande för att aktivera privilegierade roller
- Framtvinga multifaktorautentisering för aktivering av roller
- Använd motivering för att förstå varför användare aktiverar
- Få meddelanden när privilegierade roller aktiveras
- Utför åtkomstgranskningar för att se till att användare fortfarande behöver ha vissa roller
- Ladda ned granskningshistorik för intern eller extern granskning
- Förhindrar borttagning av de senaste aktiva rolltilldelningarna global administratör och privilegierad rolladministratör
Vad kan jag göra med det?
När du har konfigurerat Privileged Identity Management visas alternativen Uppgifter, Hantera och Aktivitet i den vänstra navigeringsmenyn. Som administratör kan du välja mellan alternativ som att hantera Microsoft Entra roller, hantera Azure-resursroller eller PIM för grupper. När du väljer vad du vill hantera visas lämplig uppsättning alternativ för det alternativet.
Vem kan göra vad?
För Microsoft Entra roller i Privileged Identity Management kan endast en användare som har rollen Privilegierad rolladministratör eller global administratör hantera tilldelningar för andra administratörer. Globala administratörer, säkerhetsadministratörer, globala läsare och säkerhetsläsare kan också visa tilldelningar till Microsoft Entra roller i Privileged Identity Management.
För Azure-resursroller i Privileged Identity Management kan endast en prenumerationsadministratör, resursägare eller resursadministratör för användaråtkomst hantera tilldelningar för andra administratörer. Användare som är privilegierade rolladministratörer, säkerhetsadministratörer eller säkerhetsläsare har som standard inte åtkomst till att visa tilldelningar till Azure-resursroller i Privileged Identity Management.
Terminologi
För att bättre förstå Privileged Identity Management och dess dokumentation bör du granska följande villkor.
Term eller begrepp | Kategori för rolltilldelning | Description |
---|---|---|
berättigad | Typ | En rolltilldelning som kräver att en användare utför en eller flera åtgärder för att använda rollen. Om en användare har gjorts berättigad för en roll innebär det att användaren kan aktivera rollen när det finns behov av att utföra privilegierade åtgärder. Det finns ingen skillnad i den åtkomst som ges till någon med en permanent kontra berättigad rolltilldelning. Den enda skillnaden är att vissa användare inte behöver den åtkomsten hela tiden. |
aktiv | Typ | En rolltilldelning som inte kräver att en användare utför några åtgärder för att använda rollen. Användare som är tilldelade som aktiva har de behörigheter som rollen har tilldelats. |
aktivera | Processen med att utföra en eller flera åtgärder för att använda en roll som en användare är berättigad för. Det kan vara åtgärder som att utföra en kontroll av multifaktorautentisering (MFA), ange en affärsmotivering eller begära godkännande från utnämnda godkännare. | |
tilldelad | Tillstånd | En användare som har en aktiv rolltilldelning. |
aktiverad | Tillstånd | En användare som har en berättigad rolltilldelning, utförde åtgärderna för att aktivera rollen och nu är aktiv. När den har aktiverats kan användaren använda rollen under en förkonfigurerad tidsperiod innan de behöver aktivera igen. |
permanent berättigad | Varaktighet | En rolltilldelning där en användare alltid är berättigad att aktivera rollen. |
permanent aktiv | Varaktighet | En rolltilldelning där en användare alltid kan använda rollen utan att utföra några åtgärder. |
tidsbunden berättigad | Varaktighet | En rolltilldelning där en användare är berättigad att aktivera rollen endast inom start- och slutdatum. |
tidsbunden aktiv | Varaktighet | En rolltilldelning där en användare endast kan använda rollen inom start- och slutdatum. |
just-in-time-åtkomst (JIT) | En modell i vilken användarna får tillfällig behörighet att utföra privilegierade uppgifter, vilket hindrar skadliga eller obehöriga användare från att få åtkomst när behörigheterna har gått ut. Åtkomst beviljas endast när användare behöver den. | |
princip om minsta behörighetsåtkomst | En rekommenderad säkerhetspraxis där varje användare endast har de minsta behörigheter som krävs för att utföra de uppgifter som de har behörighet att utföra. Den här metoden minimerar antalet globala administratörer och använder i stället specifika administratörsroller för vissa scenarier. |
Översikt över rolltilldelning
PIM-rolltilldelningarna ger dig ett säkert sätt att bevilja åtkomst till resurser i din organisation. I det här avsnittet beskrivs tilldelningsprocessen. Den innehåller tilldela roller till medlemmar, aktivera tilldelningar, godkänna eller neka begäranden, utöka och förnya tilldelningar.
PIM håller dig informerad genom att skicka e-postaviseringar till dig och andra deltagare. Dessa e-postmeddelanden kan också innehålla länkar till relevanta uppgifter, till exempel aktivera, godkänna eller neka en begäran.
Följande skärmbild visar ett e-postmeddelande som skickas av PIM. E-postmeddelandet informerar Patti om att Alex uppdaterade en rolltilldelning för Emily.
Tilldela
Tilldelningsprocessen börjar med att tilldela roller till medlemmar. För att ge åtkomst till en resurs tilldelar administratören roller till användare, grupper, tjänstens huvudnamn eller hanterade identiteter. Tilldelningen innehåller följande data:
- De medlemmar eller ägare som ska tilldela rollen.
- Tilldelningens omfattning. Omfånget begränsar den tilldelade rollen till en viss uppsättning resurser.
- Typen av tilldelning
- Berättigade tilldelningar kräver att rollens medlem utför en åtgärd för att använda rollen. Åtgärder kan omfatta aktivering eller begäran om godkännande från utsedda godkännare.
- Aktiva tilldelningar kräver inte att medlemmen utför någon åtgärd för att använda rollen. Medlemmar som tilldelats som aktiva har de behörigheter som tilldelats rollen.
- Varaktigheten för tilldelningen, med start- och slutdatum eller permanent. För berättigade tilldelningar kan medlemmarna aktivera eller begära godkännande under start- och slutdatumen. För aktiva tilldelningar kan medlemmarna använda tilldelningsrollen under den här tidsperioden.
Följande skärmbild visar hur administratören tilldelar en roll till medlemmar.
Mer information finns i följande artiklar: Tilldela Microsoft Entra roller, Tilldela Azure-resursroller och Tilldela berättigande för en PIM för grupper
Aktivera
Om användarna har blivit berättigade till en roll måste de aktivera rolltilldelningen innan de använder rollen. För att aktivera rollen väljer användarna specifik aktiveringstid inom det högsta värdet (konfigurerat av administratörer) och orsaken till aktiveringsbegäran.
Följande skärmbild visar hur medlemmar aktiverar sin roll till en begränsad tid.
Om rollen kräver godkännande för att aktiveras visas ett meddelande i det övre högra hörnet i användarens webbläsare som informerar dem om att begäran väntar på godkännande. Om ett godkännande inte krävs kan medlemmen börja använda rollen.
Mer information finns i följande artiklar: Aktivera Microsoft Entra roller, Aktivera mina Azure-resursroller och Aktivera min PIM för grupper-roller
Godkänn eller neka
Delegerade godkännare får e-postaviseringar när en rollbegäran väntar på godkännande. Godkännare kan visa, godkänna eller neka dessa väntande begäranden i PIM. När begäran har godkänts kan medlemmen börja använda rollen. Om en användare eller grupp till exempel har tilldelats rollen Bidrag till en resursgrupp kan de hantera den specifika resursgruppen.
Mer information finns i följande artiklar: Godkänn eller neka begäranden om Microsoft Entra roller, Godkänn eller neka begäranden för Azure-resursroller och Godkänn aktiveringsbegäranden för PIM för grupper
Utöka och förnya tilldelningar
När administratörer har konfigurerat tidsbundna ägar- eller medlemstilldelningar är den första frågan du kan ställa vad som händer om en tilldelning upphör att gälla? I den här nya versionen tillhandahåller vi två alternativ för det här scenariot:
- Utöka – När en rolltilldelning närmar sig förfallodatum kan användaren använda Privileged Identity Management för att begära ett tillägg för rolltilldelningen
- Förnya – När en rolltilldelning redan har upphört att gälla kan användaren använda Privileged Identity Management för att begära en förnyelse för rolltilldelningen
Båda användarinitierade åtgärder kräver godkännande från en global administratör eller privilegierad rolladministratör. Administratörer behöver inte vara i branschen för att hantera förfallodatum för tilldelningar. Du kan bara vänta tills begäranden om tillägg eller förnyelse kommer för enkelt godkännande eller nekande.
Mer information finns i följande artiklar: Utöka eller förnya Microsoft Entra rolltilldelningar, Utöka eller förnya Azure-resursrolltilldelningar och Utöka eller förnya PIM för grupptilldelningar
Scenarier
Privileged Identity Management stöder följande scenarier:
Behörigheter för privilegierad rolladministratör
- aktivera godkännande för specifika roller
- Ange godkännare eller grupper för att godkänna begäranden
- visa historik för begäranden och godkännanden för alla privilegierade roller.
Godkännarbehörigheter
- visa väntande godkännanden (begäranden)
- Godkänna eller avvisa begäranden om rollhöjning (enskilt och massvis)
- Ange motivering för mitt godkännande eller avvisande
Användarbehörigheter för berättigad roll
- begära aktivering av roller som kräver godkännande
- visa status för begäran att aktivera
- Slutför uppgiften i Microsoft Entra-ID om aktiveringen godkändes
Hantera privilegierade Microsoft Entra grupper (förhandsversion)
I Privileged Identity Management (PIM) kan du nu tilldela berättigande till medlemskap eller ägarskap för PIM för grupper. Från och med den här förhandsversionen kan du tilldela Microsoft Entra inbyggda roller till molngrupper och använda PIM för att hantera gruppmedlems- och ägarberättigande och aktivering. Mer information om rolltilldelningsbara grupper i Microsoft Entra-ID finns i Använda Microsoft Entra grupper för att hantera rolltilldelningar.
Viktigt
Om du vill tilldela en PIM för grupper till en roll för administrativ åtkomst till Exchange, Security & Compliance Center eller SharePoint använder du Azure Portal roller och administratörer och inte i PIM för grupper-upplevelsen för att göra användaren eller gruppen berättigad till aktivering i gruppen.
Olika just-in-time-principer för varje grupp
Vissa organisationer använder verktyg som Microsoft Entra B2B-samarbete (business-to-business) för att bjuda in sina partner som gäster till deras Microsoft Entra organisation. I stället för en enda just-in-time-princip för alla tilldelningar till en privilegierad roll kan du skapa två olika PIM för grupper med egna principer. Du kan tillämpa mindre strikta krav för dina betrodda anställda och strängare krav som arbetsflöde för godkännande för dina partner när de begär aktivering i sin tilldelade grupp.
Aktivera flera rolltilldelningar i en begäran
Med förhandsversionen av PIM för grupper kan du ge arbetsbelastningsspecifika administratörer snabb åtkomst till flera roller med en enda just-in-time-begäran. Dina Office-administratörer på nivå 3 kan till exempel behöva just-in-time-åtkomst till rollerna Exchange Admin, Office Apps Admin, Teams Admin och Search Admin för att noggrant undersöka incidenter dagligen. Innan idag skulle det kräva fyra på varandra följande begäranden, vilket är en process som tar lite tid. I stället kan du skapa en rolltilldelningsgrupp med namnet "Office-administratörer på nivå 3", tilldela den till var och en av de fyra roller som tidigare nämnts (eller någon Microsoft Entra inbyggda roller) och aktivera den för Privilegierad åtkomst i gruppens aktivitetsavsnitt. När du har aktiverat för privilegierad åtkomst kan du konfigurera just-in-time-inställningarna för medlemmar i gruppen och tilldela dina administratörer och ägare som berättigade. När en administratör höjer sig till gruppen blir de medlemmar i alla fyra Microsoft Entra roller.
Bjud in gästanvändare och tilldela Azure-resursroller i Privileged Identity Management
Microsoft Entra gästanvändare ingår i B2B-samarbetsfunktionerna (business-to-business) inom Microsoft Entra-ID så att du kan hantera externa gästanvändare och leverantörer som gäster i Microsoft Entra-ID. Du kan till exempel använda dessa Privileged Identity Management funktioner för Azure-identitetsuppgifter med gäster, till exempel tilldela åtkomst till specifika Azure-resurser, ange tilldelningens varaktighet och slutdatum eller kräva tvåstegsverifiering vid aktiv tilldelning eller aktivering. Mer information om hur du bjuder in en gäst till din organisation och hanterar deras åtkomst finns i Lägga till B2B-samarbetsanvändare i Azure Portal.
När skulle du bjuda in gäster?
Här är några exempel på när du kan bjuda in gäster till din organisation:
- Tillåt att en extern egenföretagare som bara har ett e-postkonto får åtkomst till dina Azure-resurser för ett projekt.
- Tillåt en extern partner i en stor organisation som använder lokal Active Directory Federation Services för att få åtkomst till ditt utgiftsprogram.
- Tillåt supporttekniker som inte finns i din organisation (till exempel Microsoft-support) att tillfälligt få åtkomst till din Azure-resurs för att felsöka problem.
Hur fungerar samarbete med B2B-gäster?
När du använder B2B-samarbete kan du bjuda in en extern användare till din organisation som gäst. Gästen kan hanteras som en användare i din organisation, men en gäst måste autentiseras i sin hemorganisation och inte i din Microsoft Entra organisation. Det innebär att om gästen inte längre har åtkomst till sin hemorganisation förlorar de också åtkomsten till din organisation. Om gästen till exempel lämnar organisationen förlorar de automatiskt åtkomsten till alla resurser som du delade med dem i Microsoft Entra ID utan att du behöver göra något. Mer information om B2B-samarbete finns i Vad är gästanvändaråtkomst i Microsoft Entra B2B?.